Cisco corrige 18 vulnérabilités sur divers produits

Cisco a publié le 9 janvier une série de 18 nouveaux bulletins de vulnérabilités affectant ses produits. À cela, s'ajoutent 4 bulletins mis à jour, entre le 2 et le 8 janvier. Parmi les vulnérabilités corrigées, l'une est considérée comme critique, une autre comme importante et les seize autres comme moyennes. L'exploitation de la vulnérabilité critique peut être réalisée à distance, ne nécessite pas de privilège et est simple à mettre en œuvre. Son impact, estimé sur la disponibilité des données est élevé, en revanche celui sur leur confidentialité et l'intégrité est nul.

Detail Technique :

Les vulnérabilités importantes et critiques ont été référencées comme suit :

  • CVE-2018-15453 [CVSS 8.6] : Classée critique par Cisco. Cette vulnérabilité est présente sur le logiciel AsyncOS utilisé par les solutions de sécurisation de messagerie Cisco Email Security Appliance (ESA). Elle se trouve plus particulièrement au niveau des fonctionnalités de déchiffrement et de vérification des en-têtes (basées sur le standard S/MIME). Celui-ci peut rencontrer une erreur de corruption de mémoire lors du traitement de courriels signés. Un attaquant pourrait alors l'exploiter en envoyant un courriel malveillant au système cible, entraînant un arrêt du système et son redémarrage. Dans certains cas, le système pourrait à sa reprise tenter de traiter le même courriel, entraînant une nouvelle fois l'arrêt du système. Ceci pouvant alors se produire en boucle et nécessiter une intervention manuelle.
    La vulnérabilité ne serait présente que dans certaines configurations.
  • CVE-2018-15460 [CVSS 8.6] : Classée élevée par Cisco. Cette vulnérabilité est également présente sur le logiciel AsyncOS des produits ESA. Un attaquant non authentifié sur le système pourrait ainsi, à distance, provoquer un déni de service par une utilisation maximale des ressources. Le logiciel peut en effet être paramétré afin de ne laisser passer que certains hyperliens (URL) via une liste blanche. En envoyant un courriel contenant un grand nombre de ces URL, il est possible de monopoliser les ressources du processeur et ainsi ralentir le système voire le rendre indisponible. En outre, des courriels contenant des URL malveillants ne seraient plus scannés, outrepassant le filtre.
    Cette vulnérabilité n'est pas présente dans la configuration par défaut.

Les vulnérabilités évaluées comme moyennes ont un score CVSS estimé entre 7.3 et 4.3. La majorité étant de type Cross Site Scripting (XSS). Parmi les bulletins mis à jour, deux d'entre eux concernent des vulnérabilités de criticité élevée, elles sont référencées CVE-2015-6420 et CVE-2018-16986. Pour celles-ci, soit la liste des produits a été mise à jour, soit, le numéro de version du logiciel corrigé a été changé.

Informations
+

Risques

  • Indisponibilité du système d'information

Criticité

  • Score CVSS : 8.6

Existence d’un code d’exploitation de la vulnérabilité

  • Il n’existe pas à ce jour de code publiquement disponible permettant d’exploiter les vulnérabilités corrigées.

Composants & versions vulnérables

  • Aucune des vulnérabilités n'aurait été exploitée de manière active, de même, il n'existe aucun code d'exploitation publiquement disponible.

CVE

  • CVE-2018-15453
  • CVE-2018-15460
  • CVE-2015-6420
  • CVE-2018-16986

Recommandations
+

Mise en place de correctif de sécurité

  • La liste des mises à jour est accessible via le bulletin de sécurité de Cisco.

Solution de contournement

  • Pour la CVE-2018-15453, aucune solution de contournement n'est proposée par l'éditeur ;
  • Pour la CVE-2018-15460, deux solutions de contournement ont été suggérées par l'éditeur dans le bulletin.